VMware 修补了多个产品中的关键身份验证绕过漏洞

发布时间：2025-12-07 19:48:30 作者：玩站小弟

Bleeping Computer 资讯网站披露，VMware 多个产品中出现关键身份验证绕过漏洞，漏洞允许攻击者获取管理员权限。据悉，该漏洞被追踪为 CVE-2022-22972，最。

Bleeping Computer 资讯网站披露，修补VMware 多个产品中出现关键身份验证绕过漏洞，产品漏洞允许攻击者获取管理员权限。关键

据悉，身份该漏洞被追踪为 CVE-2022-22972，验证最早由 Innotec Security 的绕过 Bruno López 发现并报告，恶意攻击者可以利用该漏洞在不需要身份验证的漏洞情况下，获得管理员权限。香港云服务器修补

漏洞主要影响了 Workspace ONE Access 、产品VMware Identity Manager(vIDM)和 vRealize Automation ，关键目前尚不清楚是身份否在野被利用。

敦促管理员立即打补丁

漏洞披露不久后，验证VMware 发布公告表示，绕过鉴于该漏洞的漏洞严重性，强烈建议用户应立刻采取行动，亿华云修补根据 VMSA-2021-0014 中的指示，迅速修补这一关键漏洞。

VMware 还修补了另外一个严重本地权限升级安全漏洞(CVE-2022-22973) ，攻击者可以利用该漏洞在未打补丁的设备上，将权限提升到 "root"。

受安全漏洞影响的 VMware 产品列表如下：

VMware Workspace ONE Access (Access)VMware身份管理器(vIDM)VMware vRealize Automation (vRA)VMware云计算基础vRealize Suite Lifecycle Manager

通常情况下，云计算VMware 会在大多数安全公告中加入关于主动利用的说明，但在新发布的 VMSA-2022-0014 公告中没有包括此类信息，只在其知识库网站上提供了补丁下载链接和安装说明。

其他临时解决方案

VMware 还为不能立即给设备打补丁的管理员提供了临时解决方法。具体步骤是，源码库要求管理员禁用除管理员以外的所有用户，并通过 SSH 登录，重新启动 horizon-workspace 服务。临时解决方法虽然方便快捷，但不能彻底消除漏洞，而且还可能带来其他复杂性的安全威胁。

因此 VMware 不建议应用临时方法，高防服务器想要彻底解决 CVE-2022-22972 漏洞，唯一方法是应用 VMSA-2021-0014 中提供的更新补丁。

值得一提的是，4月份，VMware 还修补了 VMware Workspace ONE Access和VMware Identity Manager 中的模板下载一个远程代码执行漏洞(CVE-2022-22954)。

Tag：

确保 Kubernetes 安全合规的六个最佳实践
当今，企业在加速应用现代化的同时，往往将 Kubernetes 安全置于次要地位。尽管这样的风险越来越高，但我们仍需谨慎对待那些能够缓解容器化环境威胁的安全策略。一方面，安全措施
2025-12-07
2024年1-4月全球网络安全威胁态势研究概览
2024年1月至4月期间，Visa、GuidePoint Security、Imperva等数十家行业机构/厂商，围绕当前的网络犯罪活动和安全威胁态势开展了相关报告调查工作，研究范围覆盖了勒索攻击、网
2025-12-07
土耳其黑客向全球MS SQL 服务器发起RE#TURGENCE攻击行动
近日，美国、欧盟和拉美LATAM）地区的微软 SQLMS SQL）服务器安全状况不佳，因而被土耳其黑客盯上，成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。Securonix 研究人员
2025-12-07
苹果曝出两个 iOS 系统 0-Day 漏洞
最近，苹果公司发布了紧急安全更新，解决了两个 iOS 零日漏洞。这些漏洞存在于 iOS 内核CVE-2024-23225）和 RTKitCVE-2024-23296）中，威胁攻击者可利用其绕过内核内存
2025-12-07
隐身的艺术：滥用404页面的新型Magecart活动
近日，Akamai安全情报小组的研究人员发现，一种复杂且隐蔽的Magecart web skimming活动已经瞄准Magento和WooCommerce网站。此外，一些食品和零售行业的大型组织也都受
2025-12-07
GTA5源代码泄漏
史上最畅销游戏大作GTA5侠盗猎车手5）的源代码在圣诞夜被泄漏，发布者声称此举是为了替近日被宣判永久监视医疗的Lapsus$黑客组织成员Arion Kurtaj复仇，同时也是为了阻止恶意版本的GTA5
2025-12-07